精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

管理和保護特權憑證對于企業組織降低風險，并滿足合規性而言是至關重要的。企業組織需要對特權密碼管理解決方案的深度控制、覆蓋范圍和他們所提供的與企業云服務的匹配程度進行評估。CA Technologies公司的特權訪問管理器針對上述三個維度提供了有效的管理，其提供了用于特權憑證管理的下一代解決方案，推動IT風險的降低，提高了運營效率，并通過支持傳統、虛擬和混合云基礎架構來保護企業組織的投資。

挑戰

隨著虛擬化和云計算采用的日漸普及，使得一個古老的問題的重要性和復雜性日漸凸顯：有效的管理和保護特權帳戶的密碼。跨整個傳統基礎設施(網絡設備，服務器，大型機等)管理特權密碼，一直是一個長期的安全性和合規性問題。使問題進一步復雜化的是大量的特權憑據硬編碼到應用程序。這方面的憑據的例子是SSH密鑰配對和用于訪問亞馬遜網絡服務(AWS)資源的PEM編碼密鑰。

機會

跨混合企業的特權憑證的有效保護，可以幫助一家企業組織減輕來自外部的攻擊和內部人員的惡意行為所帶來的風險。當前的企業組織有機會通過采用特權訪問管理方法來獲得12項必備的功能，以降低審計失敗和違規風險，以及高價值的數據丟失和昂貴的服務中斷的風險。畢竟，所有這一切都可以追溯到特權帳戶未受到充分的保護。

效益

CA Technologies公司的特權訪問管理器對保護和管理能夠訪問各種資源的所有類型的特權憑據提供了一套全面的控制。不管其在哪里，并且是與當今的混合云環境的步伐保持方式一致的，使企業組織能夠降低風險，較大幅度的削減成本和操作的工作負載。其能夠提供其他方法所不具備的深度的控制、廣度的覆蓋范圍和與云計算的匹配一致。

第一部分：特權密碼管理的基礎

特權用戶密碼(以下簡稱特權密碼)是區別于普通最終用戶的密碼的，其能夠訪問到一家企業組織機構最為敏感的資源——如即管理帳戶(如管理員、root根權限、SYS和SA)和相關的用于配置和控制一家企業組織機構的IT基礎設施的功能。鑒于其可能涉及的風險，故而對這些特權憑據進行重要管理和保護是顯而易見的。同時，這也是由已經大量被編入常用的安全標準和法規所驗證的相關要求所規定的，包括諸如《信息技術安全美國標準 NIST Special Publication 800-53》和《支付卡行業數據安全標準(PCI-DSS)》。

監管要求之外，特權密碼管理不僅從風險管理的角度來看是一個好的做法，其對于克服當今企業組織常見的不安全的做法也是相當必要的。強度弱、陳舊或暴露的密碼(例如，保存在一張便箋或電子表格上);密碼太多;密碼被共享;共享的賬戶沒有明確的歸屬;沒有選擇強認證和沒有集中撤銷只是我們經常會遇到的少數的問題。

真正的問題則在于，上述任何這些條件都可能潛在的導致成功的魚叉式網絡釣魚，有針對性的網絡攻擊，并最終導致企業數據盜竊，更不要說違反監管法律規定。這還需要證明嗎?根據《Verizon公司2015年度數據泄露調查報告》顯示，95%的安全漏洞均可以追溯到身份訪問憑據被盜，而另外則有10%是由可信人員濫用身份訪問憑據所導致的。這一報告的結果已經非常清楚的說明了為什么今天的企業組織需要充分利用一套企業級的解決方案，如CA Technologies公司的特權訪問管理器，以便進行特權憑證管理、保護和訪問控制。

混合云的影響

上述傳統的問題歸類僅僅只是冰山一角。鑒于混合云配置令人信服的成本、適應性和響應性的優勢——使得IT服務和應用程序得以能夠跨企業和云數據中心這二者同時利用傳統和虛擬化基礎設施——導致混合云的應用獲得了廣泛的普及必然是引人注目的。當然混合云除了帶來了與其相關的各種益處之外，也為企業的特權密碼管理帶來了一些新的挑戰，包括：

更多的密碼容量/規模——鑒于企業經營需求和虛擬機的輕松部署帶來了更多需要特權訪問的實體(因此，也就有了更多的特權密碼)

更大的范圍——隨著虛擬化和云管理控制臺的集中，增加一個新的特權資源/帳號類型到混合云

更大的添加活力——新的服務器/系統可以按需添加，不要說批量性的添加(例如，一次性添加10個、20個或更多)

創建潛在的身份島嶼——因為每款不同的云服務均有其自己的身份存儲和基礎設施

除了混合云所帶來的挑戰，IT安全管理人員在評估潛在的解決方案時，還需要考慮其他兩個方面的特權密碼管理問題。首先，他們需要考慮機器對機器或應用程序到應用(A2A)的情況，即一款系統或應用程序使用密碼以訪問另一款系統或應用程序，密碼被硬編碼在被訪問的應用程序或在純文本配置文件中提供。所需考慮的第二項是經常被忽略的問題，大多數企業組織也可能有成千上萬個密鑰(如SSH的部署)，雖然他們不是傳統的短語型密碼，但仍然作為特權帳戶的身份驗證憑據，因此，仍然需要進行管理和保護，減少相關的風險。

最終的結果是，在混合云時代，現在的特權密碼管理比以往任何時候都更加重要和復雜。

第二部分：來自CA Technologies公司的特權訪問管理解決方案

CA特權訪問管理器是一款全面的特權訪問管理解決方案。因此，除了能夠控制訪問、監控和記錄特權用戶跨混合云環境的活動，CA特權訪問管理器還集成了下一代解決方案所需的特權密碼管理的功能。事實上，IT安全團隊需要認識到雖然憑他們本身的頭銜，管理和保護密碼是非常有價值的，其也有助于帶來更好的結果。特別是在更廣泛和同樣重要的對于進入高風險的資源實際控制和管理過程的最初的(或互補的)步驟中。如果在這里的區別似乎微妙，這主要是因為，在實踐中，認證機制(即密碼)和訪問控制功能的實現很少涉及單獨一個，因此，他們往往在我們的頭腦中被混為一談。

在任何情況下，CA特權訪問管理器中的特權密碼管理功能的設計目標與其他的那些解決方案是相同的。具體來說，我們的目標是為客戶提供一款解決方案，不僅能夠提供一套全面的控制和一套全面的目標和用例功能，同時還能夠與云時代的交付選項、實踐方法和架構相一致。

綜合控制

當涉及到評估特權密碼管理解決方案時，我們推薦首先考察該解決方案是否包含了一套全面的控制，以幫助企業客戶的安全團隊克服由傳統方法所造成的創建、管理和使用敏感的管理憑據方面的風險。具體考察的領域包括發現、Vaulting控制、政策執行、檢索和支持無縫演進到一個全功能的特權訪問管理實施的能力。

第三部分：特權訪問管理必須具備的12大功能

1、自動化/易于發現

如果沒有用于自動化或易于發現的一種手段，特權密碼所帶來的管理過程將會是相當繁重的，更不用說各種錯誤或遺漏會使得一家企業組織的計算環境非常易于受到今天復雜的網絡攻擊?；谶@樣的原因，

CA特權訪問管理器中包含了多種用于發現設備、系統、應用程序、服務和賬戶的方法，包括利用眾所周知的端口結合、目錄信息、管理控制臺和API。例如，CA特權訪問管理器利用可用的API支持虛擬化和云管理解決方案，以便創建新的虛擬機時，通知管理員。此外，該解決方案可以輕松地從文本文件批量導入系統列表，同時還能夠讓ad-hoc模式通過管理控制臺進入。最后，了解我們已經選擇了回避更具破壞性的(和潛在風險較大的)基于目標代理發現本地TCP堆棧的技術要求是“經過了設計的”，也是非常重要的。

2、安全存儲/Vaulting

一個加密的vault提供了一個集中的控制點，并且是消除不安全的、使得分享和攻擊訪問憑據更容易的存儲方法(如電子表格)的關鍵。CA公司的特權訪問管理器vault是憑據安全的，一款FIPS(Federal Information Processing Standard，美國聯邦信息處理標準) 140-2 1級認證標準的解決方案利用AES 256位加密來安全地存儲所有類型的訪問憑據，而不僅僅是密碼。該解決方案的其他引人注目的功能特點包括：

· 充分利用集成整合的硬件安全模塊(HSM)，如從SafeNet公司和Thales公司的模塊到包括了現場的FIPS 140-2 2級或3級部署。這對于高配置、需要規避風險的客戶和使用案例是尤為重要的，如那些涉及到金融財務和銀行的系統，這類系統需要將加密的憑證與用于加密憑證的密鑰分別存儲。支持多種部署選項，包括CA的特權訪問管理器硬件設備自帶的PCI卡，CA特權訪問管理器虛擬設備調用網絡附加連接的HSM設備和任一類型的CA特權訪問管理器設備調用AWS的“HSM即服務(HSM-as-a-service)”產品。

· 實踐證明，白盒加密程序在保護加密密鑰的同時，自身也在系統上被使用(即在內存中)。這種做法旨在防止黑客通過監測標準加密API和內存來抓取/拼湊密鑰，以及基于密鑰分塊或簡單的混淆密鑰來克服其替代密鑰拼湊的劣勢。這一技術的加入對于A2A使用案例尤其重要，因為A2A使用案例的訪問系統還必須“vault”憑證，其對于系統有更大的破壞潛力(例如，由于其是在一個相對暴露的位置)。

3、自動化的策略執行

CA特權訪問管理器自動創建、使用和更改密碼，從而消除了密碼的重復使用或對于弱(易記)密碼的依賴。借助CA公司的特權訪問管理器，可以設置靈活的策略以強制實施復雜的密碼，執行變更要求——如基于時間輪換的密碼(例如，每天或每周)或響應特定事件(例如，每次使用后)和管理使用(例如，只允許在特定時間期間的訪問或需要雙/多授權的密碼訪問)。因為這些策略可以以分級的方式，并在目標資源的群組被應用，不僅可以有不同的要求，能力也可以被容納于不同的目標，但他們的強制性的也有效地變成了動態，因為任何自動添加到群組的資源將自動繼承該群組的策略。在其背后，CA特權訪問管理器還與受影響的目標資源直接交互，以提供所有憑證保持同步(即，當他們在一端發生改變時，在另一端也將發生變化)。

4、安全檢索和演示/使用

如果其不能被安全地檢索和使用，那么，把特權憑證到vault是沒有意義的。在此過程中的第一步驟是準確的搞清楚正在訪問/使用憑據的訪問者的身份驗證，或任何使用案例的應用程序和腳本。在這方面，CA公司的特權訪問管理器充分利用您企業現有的身份管理基礎設施，整合Active Directory和LDAP兼容目錄，以及身份驗證系統，如RADIUS。還包括支持：

· 雙因素令牌(例如，通過CA高級身份驗證或其他來自RSA和SafeNet公司的類似身份驗證)

· X.509 / PKI證書

· 聯邦部門合規性的HSPD-12和OMB-11-11所要求的個人身份驗證和通用訪問卡(PIV / CAC)

· SAML

· 復合的多因素的技術(例如，使用RSA令牌與密碼的結合)

在優選的操作模式中，CA特權訪問管理器隨后以訪問實體的形式(例如，用戶或應用程序)呈現對于目標系統的憑證請求。這種方式傳達一些額外的安全優勢。首先，相對于簡單的簽入/簽出解決方案，憑據是訪問實體從未見過或分發到的。這大大降低了他們曝光的潛在可能性。另外，由于認證到目標系統是完全自動化的，用戶永遠不需要處理/記住自己的密碼，實施的策略可以大大提高密碼的復雜性。因為所有對于目標的訪問均是通過CA特權訪問管理器進行的，該解決方案還可以提供特權用戶活動的全部屬性，甚至提供給共享的管理員帳戶。

為了完整起見，實體訪問之間的所有網絡通信也是值得注意的，CA特權訪問管理器和管理目標都是SSL加密的。此外，CA特權訪問管理器支持另一種操作模式，從而使得訪問實體可以直接檢索，并在自己的系統提交目標系統所需的憑據。

5、無縫過渡到完全特權訪問管理

CA特權訪問管理器最初只專注于密碼管理，而企業客戶需要做的一切就是是否以及何時意識到過渡到實施一套全功能的特權訪問管理的必要性。當企業客戶在為充分利用這些優勢做好準備后，其IT安全部門所能夠享受到的一些較為顯著的功能包括：

· 基于角色和相關工作流程的訪問控制(例如，其他權限的請求/授權)

· 與目標資源自動連接/建立會話(支持RDP、SSH、Web和其他幾種訪問方式/選擇)

· 特權用戶會話的實時監控，以及基于策略實施活動的允許/拒絕(例如，一個特定的用戶可以使用哪些命令)

· 日志記錄，包括基于SIEM整合的系統日志

· 完整會話記錄，具備類似DVR的回放功能一樣的直接跳到感興趣事件的功能

· 越級預防，防止用戶利用可訪問的目標繞過他們的權限來訪問其他的、未經授權的目標

此外，實施這些額外的功能可能并不容易。CA特權訪問管理器將其所有的特權密碼管理和訪問控制功能作為一款緊密集成的解決方案提供。CA特權訪問管理器還跨整個解決方案提供統一的策略管理，即進一步簡化實施和管理的方法。

全面覆蓋

當為選擇一款特權密碼管理解決方案進行評估時，所需考察的第二大關鍵領域是其所提供的覆蓋范圍。換句話說，對于上述的一整套身份憑證訪問控制，該解決方案到底支持什么類型的訪問實體，憑證和目標系統?

6、傳統目標的全面覆蓋

CA特權訪問管理器包含了一個廣泛的目標系統連接器陣列，為所有類型的IT基礎設施、網絡設備、系統和應用程序，提供了現成的集成，包括：

· Windows域、本地管理員和服務帳戶

· 熱門的Linux和UNIX發行版本

· AS / 400

· 思科和Juniper網絡設備

· 基于Telnet/SSH的系統

· SAP

· Remedy軟件

· ODBC/JDBC數據庫

· 系統和應用程序服務器

作為一款可擴展的解決方案，CA特權訪問管理器還提供靈活的定制功能，使企業客戶能夠支持更輕松地擴展到專利和內部開發的系統。

7、支持虛擬化和云管理控制臺

CA特權訪問管理器開箱即用的對于憑據管理和保護的功能覆蓋并不局限于傳統的目標;其也延伸到了流行的虛擬化和云計算解決方案，包括VMware vSphere、VMware NSX、亞馬遜Web服務和微軟在線服務。此外，適用于這些解決方案的該功能并不局限于與虛擬機、應用程序或服務相關聯的單個實例。覆蓋率也延伸到相應的管理控制臺，這是由于命令必須以其本身的能力被識別為特權資源。

8、支持機器到機器的認證

正如前面所提到的，人類并不是唯一的特權憑證用戶。對于大多數企業組織而言，許多應用程序和系統也需要訪問敏感的資源，如其他應用程序或數據庫。這通常是通過將相關的憑據嵌入到訪問應用程序的代碼或通過配置文件使其在運行時能夠獲得訪問——這二者其實都不是一個特別安全或可管理的選項。CA的特權訪問管理器通過使得開發人員能夠將輕量級CA的特權訪問管理程序客戶端植入到他們的應用程序，來為這些A2A用例提供功能覆蓋。這種方法提供了“特權應用程序”的一切，包括他們所需要注冊的CA 特權訪問管理器、動態檢索所需的密碼，以及隨后在本地系統的內存中實施的保護。此外，多種機制可用來驗證特權應用程序，并在CA特權訪問管理器中釋放要求憑證之前確認其完整性。

通過為A2A方案利用CA特權訪問管理器，企業組織可以更有效地通過集中vaulting、自動化A2A憑證管理和政策的執行，并簡化相關的審計、合規性活動來消除A2A憑據的暴露/不安全。

9、密鑰管理支持

除了支持加密操作，許多類型的密鑰也作為令牌，以確認身份。雖然這樣的密鑰不是傳統意義上的密碼，他們仍然能夠像密碼一樣操作，并仍然會受到類似的安全威脅，風險和挑戰，如復制、共享、意外曝光和未經審計的后門。由于這樣的密鑰通常是嵌入解決方案或透明使用在解決方案，以保護用戶避免相對的復雜性，他們也更容易被孤立和/或隨著時間的推移而增加。這是有道理的，其是為了適用于那些用來管理和保護密碼的同樣的控件，以及備用憑據。事實上，推薦的用來阻斷相關的威脅的最佳實踐包括：

· 移動授權密鑰到保護位置

· 定期輪換密鑰(確保密鑰泄露事件訪問的最終終止)

· 為授權密鑰執行來源限制

· 為授權密鑰執行命令限制

因此，CA特權訪問管理器具有控制和促使企業客戶考慮替換憑據類型的其他功能，包括SSH密鑰和用于訪問AWS資源和管理控制臺的PEM編碼密鑰。換言之，借助CA特權訪問管理器這些憑證可以是：(1)vaulted、(2)輪換，并且通過配置策略實施控制和(3)以最小的被盜或曝光潛在可能的方式被檢索和使用。

云時代的交付

在混合云時代，一個特權密碼管理解決方案成功的另一個主要限制因素是其適用性，這不僅僅是物理上的，而且還涉及到與云網絡的需求和能力的協調一致。

#10、企業內部部署、虛擬機和基于云的交付選項

CA特權訪問管理器支持三種簡便的部署選項，以幫助企業保持跟上復雜的混合云架構的步伐：

· 一款硬化的物理設備——在企業數據中心提供多種型號的傳統機架安裝

· 一個亞馬遜機器實例(AMI)——為部署亞馬遜EC2基礎設施進行了預配置

· 一個OVF兼容的虛擬設備——為在VMware環境中部署進行了現成的預配置

無論使用哪種部署選項，企業客戶均能夠獲得一種使他們得以管理整個混合云基礎架構的解決方案。

11、云匹配的架構和方法

CA特權訪問管理器架構特意納入了許多功能，使其適用于混合云環境。包括以下三個實例：

· 自動發現和保護——在混合云環境中，運營人員可以使用一個命令創建(或淘汰)任意數量的系統。針對這種情況，CA特權訪問管理器可以通過利用適用的API自動發現虛擬化和云計算的資源，然后配置(或撤銷)適當憑據和訪問管理策略。

· 避免身份島嶼(即，身份聯合)——CA特權訪問管理器消除獨立的身份信息孤島的一種方式是通過充分利用一家企業組織已經擁有的任何身份基礎設施。而另一方面，具體到AWS的部署，其是通過短暫的用戶支持的方法，使得企業組織不得不在AWS身份和訪問管理子系統保持獨立的身份信息。

· 啟用自動化——一款綜合的API允許編程訪問，并自動化實現所有的CA特權訪問管理器的功能(例如，外部管理和業務流程系統)。

12、云就緒的可擴展性和可靠性

特權憑證管理是一家企業組織IT基礎設施的關鍵組成部分。當執行被擴展到支持以一個完全自動化的方式運行的A2A用例時，尤其如此。為此，CA特權訪問管理器包括本地集群和負載分配功能，以滿足最大和最苛刻的環境的高可用性和可擴展性的要求。較之普通的替代方案，借助CA的特權訪問管理器，企業客戶無需再投資于單獨的外部負載平衡器的必要了，沒有了典型的性能延遲，也無需購買額外“可選”的功能特點許可了。如果確實需要的話，由于響應時間操作上可以接受，CA特權訪問管理器集群甚至可以跨地理上分散的數據中心和云計算環境配置冗余。

第四部分：結論：在云時代征服特權憑證管理

管理和保護特權憑證對于企業減少風險，并符合相關的監管要求是必不可少的。隨著混合云環境所帶來的管理控制臺所具有的前所未有的功能特點和僅僅只需點擊鼠標就能實現數百款目標系統添加/刪除的能力，這也成為了一個日漸復雜和日益重要的問題。

對于那些正在他們的信息安全戰略這一關鍵重要的領域尋找解決方案的企業組織而言，他們需要評估備選解決方案的深度控制能力，覆蓋范圍和對于云服務的匹配程度。正如本文中所討論的，CA公司的特權訪問管理器從這三個維度精準的滿足了當今企業組織的需求：設計旨在降低風險、提高運營效率、并通過支持傳統、虛擬化和混合云基礎設施以保護客戶投資的下一代特權憑證管理解決方案。